wtyd Опубликовано 7 июня, 2010 · Жалоба У всех свичей доступа edge-core, которые я видел, есть фича network-access. Грубо говоря, это примерно то же самое, что у цыски dot1x по МАС адресу - абоенту ничего настраивать не надо, абонент начинает слать пакеты, свич шлёт в радиус запросы (обычный РАР). Вернулся accept - включает порт, вернулся reject - трафик от абонента продолжает блокироваться. Можно организовать аутентификацию по маку, по свич+порт. После авторизации указанного числа маков порт начинает пропускать только их (port security). Задумка изумительная (ну на мой взгляд :-)), но реализация как всегда корява. Анноят следующие моменты: 1. Если радиус возвращает reject и абонент всёравно продолжает долбиться, то свич продолжает долбить радиус сервер. При массовом внедрении обеспечена ДДоС атака на радиус сервер. 2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков. 3. Во время re-auth связь пропадает :-). 4. Трафик блокируется только от абонента, к абоненту не блокируется. У цыски на dot1x можно указывать это. В некоторых ситуациях удаётся построить односторонний канал передачи данных - в обратную сторону данные пускают по другому каналу. Сам такое наблюдал, пока не поверил. На форум вимкома писал, но пока разработчики firmware оставляют алгоритм работы данной фичи нетронутым :(. Если у кого-то есть опыт работы с этой фичей, поделитесь, как вы решаете эти неудобные моменты ? Ещё там есть "dot1x operation-mode mac-based-auth", вроде как подразумевает аутентификацию по маку как у цыски, но в клиента всёравно шлются EAP пакеты от свича, т.е. нужен supplicant. Но вот хотелось бы избежать всяких сапликантов и вообще любых настроек на стороне клинета. Может быть всё же можно сделать так как я хочу ? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
s.lobanov Опубликовано 7 июня, 2010 · Жалоба >После авторизации указанного числа маков порт начинает пропускать только их (port security). >2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков. Даже если с помощью port-security разрешён всего 1 mac? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 7 июня, 2010 · Жалоба >После авторизации указанного числа маков порт начинает пропускать только их (port security).>2. После авторизации нужного числа маков ДДоС продолжается с помощью пакетов в радиус, которые генерятся свичем от неавторизированных маков. Даже если с помощью port-security разрешён всего 1 mac? Это взаимоисключающие фичи, вместе не работают, но делают одно и то же. Т.е. при успешной авторизации мак добавляется на порт и с него разрешается трафик - как в порт секурити. Но вот если число маков авторизовалось, то новые маки генерят запросы к радиусу, хотя в конфиге свича указано всё типа хватит уже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
mschedrin Опубликовано 7 июня, 2010 · Жалоба не знал про такую функцию. А в длинках такого нет? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
wtyd Опубликовано 7 июня, 2010 · Жалоба не знал про такую функцию. А в длинках такого нет? Чё толку с неё ? Она не работает как експектед :-). У меня даже с guest-vlan ничего не получается. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...